Опыт организации тестирования
безопасности Web приложений
Никита Постолакий. Itera Consulting
Аннотация
Хочу рассказать про опыт построения процесса полноценного
тестирования безопасности Web приложений «с нуля» в нашей компании.
Данный доклад будет интересен как тест-лидам и менеджерам, которые
давно задумываются про организацию процесса тестирования
безопасности web приложений, так и широкому кругу тестировщиков,
которым интересна эта область в тестировании.
В рамках доклада я расскажу по какой методологии и почему мы решили
работать, дам рекомендации по обучающим материалам и книгам,
затрону вопросы формирования команды Security тестирования, видов и
уровней, на которых мы решили проводить тестирование, расскажу про
организацию тестового окружения для обучения, поделюсь информацией
о времени потраченном на построение процесса, обучение и первый
проект и коротко рассмотрю существующие сертификации по
тестированию безопасности и Security аудитам.
Об авторе
Никита Постолакий
•
8+ лет в IT
•
PM проектов по тестированию в
Itera Consulting
•
Область интересов: тест дизайн,
управление рисками в
тестировании, time management
•
Курирую команду тестирования
безопасности web приложений
Содержание
1.
Задача которую необходимо было решить
2.
Определение стратегии
–
Методология OWASP
–
Тестирование безопасности – виды, уровни, области
3.
Получение компетенции
–
Учебные материалы
–
Организация тестового окружения для обучения
–
Временные затраты
4.
Тестировщики Security – кто они? Несколько советов по построению
команды
5.
Основные этапы процесса тестирования безопасности
–
Анализ и сбор информации
–
Проведение тестирования безопасности
–
Оценка рисков безопасности и подготовка отчета
6.
Сертификации
Задача:
построить процесс тестирования
безопасности
приложений в компании без
привлечения экспертов за 6 месяцев
Задача
Дополнительные параметры проекта:
•
Виды тестирования безопасности будут определены точнее в ходе
проекта
•
Доступна команда из 3 инженеров с частичной загрузкой
•
Процесс тестирования должен охватывать полный спектр активностей
«под ключ»
•
Процесс тестирования должен быть достаточно зрелым для продажи
клиентам
•
Необходимо определить\разработать методику тестирования и
построить процесс
•
Необходимо выбрать инструменты и ПО для проведения тестирования
•
Необходимо подготовить методические материалы – чек-листы, полу-
автоматические формы Excel, форматы отчетов, планов, стратегий
и.т.д.
Определение стратегии
Open Web Application Security Project (OWASP)
•
Что такое OWASP
•
Направления деятельности OWASP
•
Методология тестирования
•
Основные проекты сообщества
•
ПО, разработанное участниками OWASP
•
Книги и учебные материалы
•
Почему мы решили использовать методику тестирования web
приложений OWASP
Получение компетенции в
тестировании безопасности
Каким бывает тестирование
безопасности ПО
•
Уровни тестирования:
–
Тестирование приложения
–
Тестирование окружения
–
Тестирование организации
•
Тестирование черного и белого ящика с точки зрения security
•
Анализ кода
•
Desktop приложения vs Web приложения
•
Мобильная безопасность
Учебные материалы
•
Методологии тестирования безопасности web приложений:
–
OWASP Testing Guide
–
Open Source Security Testing Methodology Manual (OSSTMM)
•
Интерактивные учебные курсы
–
OWASP Web GOAT
•
Книги о тестировании безопасности
–
1
–
2
–
3
Организация тестового
окружения для обучения
Как огранизовать тестовое окружение для обучения команды и практики
на максимально приближенных к реальности примерах.
1.
Damn Vulnerable Web Application
2.
HACKADEMIC project
3.
Web Goat project
4.
OWASP Live CD
Временные затраты нашего
проекта
•
Обучение
•
Постоение процесса
•
Пилотный проект
Построение команды
•
Кто вам нужен что бы провести тестирование безопасности?
•
Балланс технических знаний и навыков в тестировании
•
Аналитика и навыки менеджера
•
Наше решение
Основные этапы процесса
тестирования безопасности
Анализ и сбор информации
•
Цели этапа
•
Задачи и активности
•
Артефакты
•
Выводы
Проведение тестирования
•
Тест стратегия и тест план
•
Требования
•
Тест кейсы
•
Дефекты
•
Тестовое окружение
Оценка рисков и
подготовка отчета
•
Понятие риска безопасности
•
Уязвимости, дефекты и риски
•
Методика оценки рисков безопасности OWASP
•
Подготовка отчета о тестировании безопасности
Сертификаты в области
тестирования безопасности
•
Сравнительный анализ основных сертификаций: уровень, сложность
получения, стоимость, плюсы и минусы
Вопросы?
Контакты и ссылки
Опыт организации тестирования безопасности Web приложений в компании